Колонки Віталій Горобець
  1447  0

"Віртуальний ворог": як захистити бізнес від кібератак

За 2015 рік з рахунків підприємств України зникло близько 100 млн грн. Якими маюсть бути першочергові правила кібер-гігієни для організацій, щоб не стати жертвою хакерів?

киберзащита

Кіберзагрози у сучасному суспільстві набирають загрозливого масштабу. Відтепер успішна атака хакерів може знеструмити цілу область або країну, пограбувати банк чи знищити успішну організацію.

За різними оцінками, за 2015 рік з рахунків підприємств України зникло близько 100 млн грн. 

Віртуальне "кілерство" і "злочин-як-сервіс"

Протистояння у віртуальному світі стає все гарячішим. Хакери та організовані кібертерористи, кібершпигуни та кібершахраї придумують щораз нові шляхи та стратегії, щоб атакувати приватні, державні і корпоративні облікові записи.

Виникає навіть нова індустрія - "злочину-як-послуги" (CaaS – Crime-as-a-Service), що надає легкий онлайн-доступ до ресурсів з злочинними продуктами та послугами, дозволяє кіберзлочинцям-початківцям з слабким набором навичок створювати сильніші та потужніші загрози.

Звісно, що офіційно вам ніхто цього не підтвердить. І так просто знайти подібні ресурси ви не зможете.

Потенційні жертви витрачають все більше зусиль, часу та коштів на те, аби захистити свій бізнес від кіберзагроз.

Важливість кібербезпеки дуже чітко демонструє динаміка витрат на неї. Глобальний ринок кібербезпеки виріс з $3,5 млрд у 2004 році до $75 млрд у 2015. За прогнозами компанії Gartner, він досягне $170 млрд до 2020.

В новому звіті від компанії "Бізнес Інсайдер" (BI Intelligence) прогнозується, що $655 млрд буде витрачено на цифрову безпеку між 2015 та 2020 роком. Для стаціонарних комп’ютерів – $386 млрд, мобільних приладів – $113 млрд та приладів "інтернету речей" або IoT – $172 млрд.

Атаки у кіберпросторі: в чому сенс і кого атакують?

Загалом кібератаки мають на меті або демонстрацію сили і загрози, або отримання зиску, або усунення конкурентів чи підрив діяльності.

Є кілька напрямків кіберзагроз. Кібертероризмом називають підривну діяльність терористичних груп із застосуванням цифрових технологій з метою просування своєї ідеології або політики.

Військова кіберсправа – це використання цифрових технологій з метою проникнення до мереж іншої держави, щоб спричинити зупинку в роботі або нанести збитки.

Керівництво Північно-Атлантичного Ал’янсу визнало кібер простір п’ятим виміром ведення війни паралельно з землею, морем, повітрям та космосом. Зазвичай подібні атаки спрямовані на виведення з ладу так званої "критичної інфраструктури" – банків, енергетики, сфери транспорту, медичних установ тощо.

Кібершпигунством називають практику отримання і використання інформації без згоди власника шляхом застосування інформаційних технологій.

Цей вид атак часто використовується для отримання економічних, стратегічних, політичних або навіть військових переваг. Вони здійснюються шляхом зламування системи та інсталяції шкідливих програм, причому найчастіше у виробничих, наукових та комерційних сферах.

Відповідно до даних бюро Євростат, тільки 32% з 1,5 млн підприємств ЄС формально виробили політику інформаційної безпеки.

Маленькі підприємства найменш стурбовані станом КБ, що є хибною стратегією, адже в 2015 році саме малі та середні підприємства (МСП) найчастіше підпадали під кіберприціл.

Великі компанії втричі свідоміші щодо своєї кібербезпеки, ніж малі. Остання держдоповідь про слабкі місця кібербезпеки у Великій Британії показала, що 74% маленьких організацій доповідали про прориви у системі безпеки у 2015 році. І ця цифра збільшується щорічно.

Щодо уважних до кібербезпеки галузей, то у трійці європейських лідерів компанії інформаційного та комунікаційного сектору – 60% з них мають цілком сформовану політику щодо кібербезпеки; професійних, наукових та технічних галузей – 49%; а також енергетичні і постачальники комунальних послуг – 40%.

На протилежному кінці опинились логістичні і транспортні компанії – 26%; роздрібні торгівці – 25% та будівельні фірми – 20%.

У звіті від Quocirca, в якому консолідували інформацію, отриману від опитування 600 європейських компаній, 369 заявили, що вони були "на прицілі" хакерів, а 251 визнали, що атаки мали успіх. Атаки призвели до втрати даних у 133 випадках (64 з яких мали дуже значні втрати) та 94 стверджували, що потерпіли серйозні та значні репутаційні втрати.

При цьому у 2015 році кожна десята британська компанія потерпіла фінансові втрати від кібератак і лише 28% з них довели до відома поліції інформацію про атаку.

Публічні компанії, що потерпіли від слабкого кіберзахисту, втрачали вартість своїх акцій та клієнтів. Наприклад, компанія TalkTalk досі одужує після минулорічної хакерської атаки, в результаті якої втрата вартості акцій склала майже 20%, після того як 150 тисяч клієнтських профайлів були вкрадені. Це спричинило компанії недоотриманий дохід у 60 млн фунтів та 101 тисячу клієнтів, що покинули компанію.

Українські тривожні кібербудні

За даними РНБО в Україні 25 тисяч вразливих серверів. Тільки в державних органах України за останні півроку зафіксувалио близько 15 тисяч інцидентів, пов’язаних з інформаційною безпекою. 170 з них, за словами представника Держспецзв’язку, мали характер DDoS-атак.

В минулому році в Україні відбулась серія значних кібератак віруса BlackEnergy. Їх жертв умовно поділяють на такі категорії: державні установи, критична інфраструктура, банки, військові і АТО, спеціальні служби та інші.

50% атак закінчувалися знищенням інформаційної мережі. Іншою серйозною загрозою, що шкодить нашій країні, вже деякий час є команда FancyBear. Дуже вірогідно, що ця команда має зв’язки з спецслужбами якоїсь держави, тому що їх атаки спрямовані суто на отримання інформації і не мають на меті знищення інформаційних мереж. Їх діяльність була помічена в кібератаках на ЦВК та МЗС України, правоохоронні органи Грузії та дослідницькі організації Польщі.

Українські військові та державне керівництво, за даними компанії Eset, підпадали під атаки таких вірусів як "Potao" та "Armageddon".

Шкідливе ПЗ "Potao" знаходило свій шлях в мобільні та стаціонарні прилади через електронну пошту шляхом замаскованого виконавчого ".exe" файлу. Наприклад, з такою назвою: "Загальна таблиця захопл та полонених за ЗСУ станом на 05.03.2015.ехе" або "на 05.03.2015 зв_льнен_ з полону для НГШ.ехе" і схожі на них.

"Armageddon" діяв протягом тривалого періоду та доставлявся, як програмка перевірки переносних накопичувачів даних "флешек" ChekFlashSecurityUSB.exe.

Традиційна для західних банків хакерська група Dyreza почала атакувати і українські банки, крадучи кошти з рахунків підприємств. Кілька інших хакерських груп чистять рахунки клієнтів українських банків за допомогою вірусів ZeuS і Neutrino вже декілька років.

Все відбувається за тієї ж схеми, що і попередні загрози. Отримувач листа електронної пошти в формі "спаму" відкриває файл з додатку (часто з розширенням ".ехе"), що приводить в дію шкідливу або троянську програму, яка і допомагає зловмисникам встановити зв’язок з жертвою для подальшої "роботи".

За різними оцінками, за 2015 рік з рахунків підприємств України зникло близько 100 млн грн.

Все більш поширеними протягом 2015 року стали програми, які вимагають гроші, шифруючи дані в мережі жертви (ransomware). В нашій країні діють наступні програми: CTB-Locker, .XTBL, .CBF, Watnik, Vault та інші.

Пригадаємо ще кілька резонансних атак на українські компанії та підприємства. У травні 2014 року зламали та атакували центр інформаційних технологій ЦВК.

Того ж місяця сталась атака на транспортні підприємства. Вже у серпні 2014 року атакували широкий спектр державних органів. У жовтні відбулась широкомасштабна атака на медіа-компанії. У грудні того ж року здійснили атаку на низку обленерго, знеструмивши велику кількість споживачів. А у січні 2016 року спробували атакувати аеропорт "Бориспіль".

Пан Олексій Ясинський, директор з інформаційної безпеки одного з українських підприємств, досконально вивчив один з цих інцидентів, пов’язаних з атакою вірусу BlackEnergy.

Одного дня працівнику був надісланий електронний лист, начебто від Верховної ради з двома файлами у додатку та посиланням на закачування графічних елементів. Файл таблиць Ексель у додатку мав в собі макрос (внутрішню програму, що запускалась при потребі), що і був механізмом доставки вірусу до жертви.

Через новостворений зв’язок шкідлива програма отримувала подальші інструкції з внесення критичних змін у функціонування системи. Спершу був лише один лист. А потім цілеспрямована розсилка на більш ніж 2000 адресатів цієї компанії мала місце через два місяці. Результатом стало знищення інформації на понад десятку комп’ютерів, важливому сервері та двох інших ключових елементах роботи інформаційної системи.

Атаки на низку ЗМІ під час місцевих виборів у жовтні 2015 році були здійснені також за допомогою вірусу BlackEnergy. Про це офіційно заявлено командою CERT-UA.

Вірус, що був закладений у необхідні системи за місяці до початку виборів, в потрібний час намагався отримати повноваження привілейованого користувача, а якщо не отримував, то запускав на диску процес створення файлів, заповнених довільними літерами, що швидко з’їдали пам’ять та змушували зайти адміністратора з привілейованим доступом у систему.

При цьому видалявся файл, що завантажує систему, і, як результат, після вимкнення система більше не завантажувалась. В результаті сервери виходили з ладу, а значна кількість відео та інших матеріалів постраждали. До того ж, шкідливе ПЗ після виконання своєї функції самознищилось разом зі стертими файлами, а простір, де воно зберігалося, заповнило нулями з метою подальшого невизначення свого місцезнаходження.

Наприкінці 2015 року атак зазнали енергетичні підприємства. Листи з вірусами надходили на енергетичні компанії "Чернівціобленерго", "Київобленерго" та "Прикарпатьобленерго". Якщо листи і файли відкривались, і результат проникнення був вдалим, то зловмисники отримували контроль над активним серверним та мережевим обладнанням, виводячи його з ладу.

В результаті десятки тисяч громадян втрачали доступ до електронергії на 3-8 годин ("Київобленерго" та "Прикарпатьобленерго"). Атака на одне обленерго, розташоване на заході України, не була успішною завдяки відповідальності та навичкам співробітника підприємства. Тож населення області електроенергію не втратило.

Одній свіжій масштабній атаці близько місяця. В результаті DDoS-атак реєстри Міністерства Юстиції України були недоступні протягом двох днів.

За інформацією "Національних інформаційних систем", атака тривала два дні – 12-13 липня. І робота з реєстрами була неможлива. В результаті всі, хто використовує електронно-цифрові підписи, не могли ними скористатись. Бо центр, що має підтверджувати справжність цих підписів, не функціонував.

Мету атаки визначити дуже складно. Нею може бути і прикриття інших серйозних атак, і переведення інформації прихованими каналами, і крадіжка ключів та паролів нотаріусів, що дають доступ до держреєстрів.

Наприклад, за ключами нотаріусів полюють давно. Маючи їх, рейдери вносять зміни до держреєстрів, а згодом і встановлюють силовий контроль над майном. Міліція тут безсила, бо за законом саме запис в держреєстрі є підтвердженням власності, а не паперові документи, що знаходяться на руках нічого не підозрюючих законних власників.

Першочергові правила кібер-гігієни для організацій:

Фахівці, які займаються цифровою безпекою, радять дотримуватись наступних правил для запобігання кібер загрозам:

  • Розробити стратегію захисту, пріоритети, забезпечити постійну увагу до цих процесів зі сторони керівництва організації;
  • Навчати персонал безпечному користуванню інформаційними системами;
  • Створити якісний підрозділ з обслуговування інфосистем;
  • Обмежити доступ до обладнання та обмежити користувачів з привілейованим доступом;
  • Постійно моніторити інформаційні загрози безпеці у мережі автоматизованими засобами. Встановлювати "просіювачі" трафіку та електронної пошти організації на виявлення шкідливих елементів;
  • Запровадити ручний моніторинг спаму та аналіз вмісту, а також обов’язкове відправлення зразків до служби підтримки антивірусних програм заради вироблення захисту;
  • При виявленні звернень систем до незрозумілих IP адрес блокувати їх. Це допоможе виявити скомпрометовані машини та заблокувати комунікацію вірусів з командними центрами, якщо такі комунікації вже мають місце;
  • Відкривати тільки ті файли в додатку листа, в походженні яких ви впевнені на 100%. У випадку надходження листа з файлом (Word, Excel, картинки, та ін.) від неопізнаного відправника, не відкривати файл. Особливо із розширенням "exe".

 

Від усіх загроз не вбережешся. Та й, якщо хтось захоче зламати інформаційну систему вашої компанії чи вашу електронну скриньку, то є висока імовірність, що він це зробить. Однак, дотримання простих правил зможе зберегти організацію чи сайт від кібер-атаки.

Хакери зазвичай атакують найслабші місця. І якщо ваша інформаційна система або прилад буде краще захищеним, то кіберзлочинець з великою вірогідністю просто переключиться на наступну, менш захищену, жертву.

Конкретно кожному користувачу, в найпершу чергу, слід бути уважними до електронних листів, файлів та посилань, які надходять до них у скриньку і не відкривати невідомі чи підозрілі об’єкти (особливо схожими на документи пакету Майкрософт та ті, що мають розширення ".exe" в кінці файла) і не переходити за підозрілими посиланнями.

По-друге, слід слідкувати за якістю та походженням програмного забезпечення, яким користуєтесь, вчасно оновлювати його. І по-третє, створювати складні нелогічні паролі для своїх облікових записів і не зберігати їх у системі, а десь окремо у записнику чи добре захованому файлі.

 
 
 вверх